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(54) Chipkarte mit integrierter Schaltung 

(57) Chipkarten mit Mikroprozessor und Speicher 
werden fur verschiedene Anwendungsfalle eingesetzt. 
GewOnscht ist auch, daB dieselbe Chipkarte fur ver- 
schiedene Anwendungen verwendet werden kann. Da- 
zu ist es erf order lich, daB die verschiedenen Benutzer- 
programme sicher voneinander getrennt sind und ein 
gegenseitiger Zugriff nicht moglich ist. Dies wird insbe- 
sondere durch die Aufteilung in einen System-Mode, in 
dem alle Zugriffsrechte freigegeben sind, und in einen 
Benutzer-Mode erreicht, der Oberein bestimmtes Bit im 
Programmstatuswort eingestetlt wird. Dieses Mode-Bit 
steuert u.a. eine Trennung in dem Bus fur die Register 
fur spezielle Funktionen, so daB bestimmte Register in 
Benutzer-Mode nicht zuganglich sind. In diesen Regi- 
stern konnen Informationen enthalten sein, die den Zu- 
griff auf nur bestimmte Speicherbereiche freigeben, so 
daB im Benutzer-Mode dieser Zugriff nicht geandert 
werden kann. Ferner kann jedes Speicherwort eine in- 
dividuell einem Anwenderprogramm zugeordnete Pruf- 
information enthalten, die beim Auslesen mit der ent- 
sprechenden Prufinformation verglichen wird, wobei bei 
fehlender Ubereinstimmung die ausgelesene Informati- 
on intern nicht weitergeleitet wird. 
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Beschreibung 

[0001] Die Erfindung betrifft sine Chipkarte mit einer 
integrierten Schaltung, die eine Steuereinheit in Form 
eines Mikroprozessors und Speicher enthalt. Derartige 
Chipkarten sind allgemein bekannt und werden fur ver- 
schiedene Zwecke verwendet. In haufigen Fallen wer- 
den solche Scheckkarten fur Zwecke verwendet, in de- 
nen sich auf der Karte sicherheitsrelevante Informatio- 
nen befinden. Dies ist beispielsweise der Fall bei Bank- 
karten, bei denen sich auf der Scheckkarte Guthaben 
Oder Kreditlinien befinden sowie personliche Geheim- 
zahlen, oder bei Patientenkarten, auf denen sich ver- 
trauliche Informationen uber den Patienten befinden, 
die beispielsweise nur nach Eingabe einer personlichen 
Geheimnummer auslesbar sein sollen. Ferner werden 
solche Karten als Zugangskontrolle fur bestimmte Rau- 
me oder Gebaude verwendet. In alien Fallen soil ver- 
hindert werden, da3 durch betrugerische Manipulation 
nen geheime Daten aus der Karte ausgelesen werden 
konnen oder daB Daten auf der Karte in unerwunschter 
Weise verandert werden konnen. 
[0002] Aufgabe der Erfindung ist es, eine Chipkarte 
mit Mikroprozessor und Speicher anzugeben, bei der 
ein unzulassiger, d.h. nicht gewunschter Zugriff auf Da- 
ten in der Karte zum Auslesen oder Verandern mit mog- 
lichst groBer Sicherheit verhindert wird. 
[0003] Diese Aufgabe wird erfindungsgemaB im we- 
sentlichen dadurch gelost, daB im Programmstatus- 
wort-Register, dem PSW-Register, wenigstens ein Mo- 
de-Bit vorhanden ist, dessen Wert einen Benutzer-Mo- 
de oder einen System-Mode angibt. Im Benutzer-Mode 
ist durch den entsprechenden Bitwert des Mode-Bits der 
Zugriff auf wenigstens Teile des PSW-Registers sowie 
auf alle solchen Register- und Speichersegmente, die 
nur im System-Mode verwendet werden, gesperrt. Da- 
durch ist der Zugriff auf alle solchen Register und Spei- 
cher, in denen sich sicherheitsrelevante Informationen 
befinden, nur im System-Mode moglich. Der System- 
Mode arbeitet mit einem test gespeicherten Programm, 
das selbstverstandlich ebenfalls von auBerhalb weder 
auslesbar noch veranderbar ist. Dieses Programm ist 
unabhangig von den jeweiligen Anwendungsfallen. 
[0004] Dies hat den Vorteil, daB ein solches System- 
Programm nur einmal auf seine sicherheitsrelevanten « 
Funktionen gepruft und freigegeben werden muB. Die 
Anwenderprogramme, die von den entsprechenden In- 
stitutionen wie Banken oder Krankenkassen erstellt und 
auf die Karte gebracht werden, brauchen dann nicht be- 
sonders gepruft zu werden. Jeder Zugriff auf geheime i 
Daten im Rahmen eines Anwenderprogramms erfolgt 
ausschlieBlich uber das System-Programm. Dies ist be- 
sonders wichtig auch fur Chipkarten, die mehr als einer 
Anwendung dienen. Durch das System-Programm wird 
sichergestellt, daB alle verschiedenen Anwenderpro- £ 
gramme eindeutig und zuverlassig voneinander ge- 
trennt sind und nicht von einem Anwenderprogramm auf 
ein anderes bzw. auf darin verwendete Daten zugegrif- 



fen werden kann. 

[0005] Zum Zugriff auf geheime Daten, die in einem 
Anwenderprogramm rechtmaBig verwendet werden 
sollen, wird stets ein bestimmter Sprung in das System- 
5 Programm ausgelost, der das Mode-Bit umschaltet. Im 
System-Mode sind alle Register und alle Speicherplatze 
zuganglich. Andererseits kann im System-Mode aber 
genau gepruft werden, ob der gewunschte Zugriff tat- 
sachlich zulassig ist. Diese Prufung kann auch durch ei- 
io nen betrugerischen Benutzer nicht ausgeschaltet wer- 
den. Einen Zugriff auf geheime Daten ist auch jede Ein- 
gabe- und Ausgabeoperation von Daten gleichgestellt. 
[0006] Die Sperrung von Speicherplatzen bzw. die 
Freigabe bestimmter Speicherplatzbereiche fur jeweils 
'5 ein Anwenderprogramm wird auf einfache Weise da- 
durch erreicht, daB der Speicher in bestimmte Bereiche 
unterteilt ist, die auch mit Segmenten Oder Seiten be- 
zeichnet werden, und unterschiedlichen Anwenderpro- 
grammen sind dann zweckmaBig auch unterschiedliche 
o Segmente zugeordnet. Die Segmente werden durch 
den Inhalt eines bzw. mehrerer entsprechende Register 
bestimmt, die nur im System-Mode veranderbar sind. 
Dadurch sind Speicherbereiche verschiedener Anwen- 
derprogramme sicher gegeneinander abgegrenzt. 
5 [0007] Zusatzlich kann innerhalb eines Segments der 
Zugriff auf nur einen Teil dieses Segments freigegeben 
werden, indem zusatzliche Register fur eine Angabe ei- 
ner Grenzadresse innerhalb eines Segments vorgese- 
hen werden. Jede Adresse, d.h. die Bits geringerer Wer- 
> tigkeit, werden automatisch mit dem Inhalt eines sol- 
chen Registers verglichen. Auch diese Register konnen 
nur im System-Mode gelesen und uberschrieben wer- 
den. 

[0008] Ferner ist, vorzugsweise im Segmentregister, 
eine Bitgruppe vorgesehen, deren Wert zusammen mit 
eingeschriebenen Daten in den Speicherplatz mit ein- 
geschrieben wird. Beim Auslesen wird dann gepruft, ob 
der Inhalt des entsprechenden Bereichs der Speicherst- 
elle mit dieser Bitgruppe ubereinstimmt. Falls dies nicht 
der Fall ist, wird das Auslesen gesperrt. 
[0009] Wenn von einem Benutzerprogramm im Be- 
nutzer-Mode auf ein Register oder einen Speicherplatz 
zugegriffen werden soil, der in diesem Benutzerpro- 
gramm nicht zulassig ist, kann anstelle einer besonde- 
ren Systemmeldung nur ein Wert ausgegeben werden, 
der einer leeren Speicherzelle entspricht, die also nach 
Herstellung der Karte nicht beschrieben worden ist. Auf 
diese Weise kann ein betrugerischer Benutzer nicht er- 
kennen, ob er tatsachlich auf einen leeren Speicherplatz 
oder auf einen gesperrten Speicherplatz zugreifen woll- 
te. AuBerdem entspricht ein solcher Wert einem unbe- 
dingten Sprung in den System-Mode. 
[0010] Die Sperrung alier nicht zugelassenen Spei- 
cherbereiche erfolgt also uber Register, die nur im Sy- 
stem-Mode veranderbar sind. Diese Register bilden we- 
nigstens einen Teil der Register fur spezielle Funktio- 
nen, der sogenanten SF-Register. Diese Register sind 
uber einen registerinternen Bus miteinander verbun- 
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den. AuBerdem hat dieser interne Registerbus eine 
Schnittstelle zum internen Datenbus, Ober die Daten 
vom Datenbus in die Register eingeschrieben oder aus 
den Registern zum Datenbus ausgelesen werden kon- 
nen. ZweckmaBig wird nun dieser Registerbus durch ei- 
nen Schalter unterteilt, der nur im System-Mode ge- 
schlossen ist. Dies ist eine sehr einfache Moglichkeit, 
die entsprechenden Register und indirekt damit auch al- 
le nicht zuganglichen Speicherplatze zu sperren. 
[0011] AusfOhrungsbeispiele der Erfindung werden 
nachfolgend anhand der Zeichnung erlautert. Es zei- 
gen: 

Fig. 1 ein Blockschaltbildderwichtigsten Teileeines 

Mikroprozessors fur eine Chipkarte, 

Fig. 2 den genaueren Aufbau eines Details daraus, 

Fig. 3 ein Blockschaltbild fur die Oberprufung von 

AdreGgrenzen, 

Fig. 4 ein Blockschaltbild fur die Prufungdes Inhalts 
von Speicherplatzen, 

Fig. 5 eine symbolische Darstellung der Untertei- 
lung zwischen geschOtztem SystemBereich und 
ungeschutztem Benutzer-Bereich, 
Fig. 6 ein Beispiel fur den Aufbau eines Programm- 
statusworts in zwei getrennten Registern. 

[0012] Die Fig. 1 zeigt schematisch die fur die Erfin- 
dung wesentlichen Teile eines Mikroprozessors. An ei- 
nen internen Bus 11, der eine Anzahl Daten- und Steu- 
erleitungen umfaBt, ist ein Programmzahler 10 ange- 
schlossen, der Ober den Datenbus auf eine bestimmte 
Adresse gesetzt werden kann und im ubrigen autonom 
weiterzahlt. Die dafur notwendigen Steuersignale sind 
beim Programmzahler sowie bei den ubrigen Elemen- 
ten in dieser Figur sowie in den anderen Figuren der 
Ubersichtlichkeit halber nicht einzeln dargestellt. 
[001 3] Der Programmzahler 1 0 lief ert seinen Inhalt an 
eine Speicherverwaltungseinheit MMU 1 4, die Ober eine 
Verbindung 15 einen Speicher 20 mit Adressen- und 
Steuersignalen versorgt. Dieser Speicher 20 besteht 
zweckmaGig aus mehreren Speichereinheiten, namlich 
insbesondere einem ROM fur das Systemprogramm 
bzw. wesentliche Teile davon, einem beschreibbaren 
EEPROM fur Anwenderprogramme und bestimmte fe- 
ste Daten wie Geheimnummern sowie aus einem fluch- 
tigen RAM insbesondere zur Speicherung von Zwi- 
schenergebnissen bei einzelnen Verarbeitungsschrit- 
ten. Die Auswahl der einzelnen Speicher geschieht 
durch Steuersignale Ober die Verbindung 15. Ober eine 
Verbindung 29 werden aus adressierten Speicherplat- 
zen ausgelesene Daten abgegeben bzw. in beschreib- 
bare Speicherplatze einzuschreibende Daten zuge- 
fuhrt. 

[0014] Die MMU 14 ist ferner direkt mit dem Bus 11 
verbunden, um Daten vom Bus 11 als Adressen dem 
Speicher 20 zuzufuhren. AuBerdem ist die MMU14 mit 
Registern 18 verbunden, die hier vereinfacht als ein 
Block dargestellt sind und die Angaben enthalten, wel- 



che Speichereinheit im Speicher 20 auszuwahlen ist 
undzusatzlich, welcher Speicherbereich bzw. AdreGbe- 
reich in der ausgewahlten Speichereinheit angespro- 
chen wird. Dazu ist insbesondere die EEPROM-Spei- 

s chereinheit in Bereiche unterteilt, die allgemein als Seg- 
mente oder Seiten bezeichnet werden. Jedem Anwen- 
derprogramm werden ein oder mehrere bestimmte Seg- 
mente fur Programminformationen und Daten zugeord- 
net, die beim Einschreiben des betreffenden Anwender- 

10 programms festgelegt werden. Diese Zuordnungen 
konnen lediglich durch das Systemprogramm verandert 
werden, wie spatert erlautert wird. 
[0015] Eine arithmetisch-logische Einheit ALU 12 ist 
mit einem Eingang mit dem Bus 11 verbunden. Der in- 

15 terne Aufbau dieser Einheit, der insbesondere eine Re- 
cheneinheit und einen Akkumulator sowie weitere Re- 
gister umfaBt, ist an sich bekannt und daher hier nicht 
weiter dargestellt. Die Rechenergebnisse dieser Einheit 
1 2 werden wieder auf den Bus 1 1 zuruckgef uhrt. AuBer- 

20 dem werden einige Signale, die bei der Durchfuhrung 
von Berechnungen auftreten, wie Ubertragssignale, 
Uberlaufmeldungen oder Null-Werte, Ober eine Verbin- 
dung 1 3 einem Register 26 zugef uhrt, das einen Teil des 
sogenannten Programmstatusworts enthalt. Der zweite 

25 Teil des Programmstatusworts ist in einem Register 28 
enthalten. 

[0016] Fur die Eingabe oder Ausgabe von Daten, bei- 
spielsweise von auBerhalb der Chipkarte oder von ei- 
nem Koprozessor in der Chipkarte bzw. auf demselben 
30 Chip wie der Mikroprozessor, sind Register 24 vorgese- 
hen, die Ober eine Verbindung 25 von auBerhalb des 
Mikroprozessors geladen werden konnen oder nach au- 
Gerhalb Daten abgeben konnen. 

[0017] Die Register 18, 28 und 24 sind uber einen 

35 speziellen Bus 23 miteinander verbunden, der auf eine 
Verbindungseinheit 30 fuhrt. An diesen Bus 23 konnen 
noch weitere Register angeschlossen sein, wie durch 
die gestrichelte Linie zur Verbindungseinheit 30 ange- 
deutet ist. Die Verbindungseinheit 30 ist ferner mit ei- 

40 nem internen Bus 21 verbunden, der auf das Register 
26 fur den einen Teil des Programmstatusworts sowie 
auf eine Koppeleinheit 22 fOhrt, die diesen Bus 21 mit 
dem Bus 11 bei entsprechender Ansteuerung Ober nicht 
gesondert dargestellte Steuerleitungen verbindet. Die 

45 Busse 21 und 23 stellen den in Mikroprozessoren Obli- 
chen internen Bus fur die Register fur spezielle Funktio- 
nen dar. Diese beiden Teile bilden einen einheitlichen 
Bus, wenn die Verbindungseinheit 30 durch Ansteue- 
rung uber die Leitung 27 die beiden Busteile verbindet. 

50 [0018] Die Steuerleitung 27 ist mit einem bestimmten 
Teil des Registers 28 verbunden, der ein Mode-Bit ent- 
halt. Der Wert dieses Bits bestimmt, ob der Mikropro- 
zessor im System-Mode oder im Benutzer-Mode arbei- 
tet. Wenn der Wert dieses Bits den System-Mode an- 

55 gjbt, wird die Verbindungseinheit 30 angesteuert, um 
beide Busteile 21 und 23 miteinander zu verbinden, so 
daG dann ein einheitlicher Bus hergestellt wird, Oberden 
alle Register fur spezielle Funktionen, wie die darge- 
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stellten Register 18, 24, 26 und 28 sowie gegebenen- 
falls weitere, nicht dargestellte Register miteinander 
verbunden sind. Im System-Mode kann alsoauf alie Re- 
gister zugegriffen werden. Im Benutzer-Mode wird 
durch den entsprechenden anderen Wert des Mode- 5 
Bits Ober die Steuerleitung 27 die Verbindungseinheit 
30 angesteuert, urn die beiden Busteile 21 und 23 zu 
trennen. Nun kann nicht mehr auf die Register 18, 28 
und 24 sowie weitere am Bus 23 angeschlossene Re- 
gister zugegriffen werden, und zwar weder zum Schrei- 10 
ben noch auch nur zum Lesen. 

[0019] Der Ubergang vom Benutzer-Mode in den Sy- 
stem-Mode geschieht durch einen besonderen Sprung- 
befehl, durch den das Mode-Bit im Register 28 auf den 
System-Mode umgeschaltet wird. Gleichzeitig wird der is 
Anfang des System -Programms aufgerufen, dessen 
wesentlicher Inhalt unveranderlich festgelegt ist. Im Sy- 
stem-Programm kann beispielsweise das Register 18 
verandert werden, urn andere Speichereinheiten oder 
andere Segmente in einer Speichereinheit im nachfol- 20 
genden Anwenderprogramm adressieren zu konnen. 
Am SchluB des System-Programms wird im Register 28 
das Mode-Bit wieder zuruckgeschaltet, und damit wird 
uber die Steuerleitung 27 in der Verbindungseinheit 30 
wieder die Verbindung zum Bus 23 unterbrochen, so 25 
daB dann kein Zugriff auf die daran angeschlossenen 
Register moglich ist. 

[0020] In Fig. 2 ist der Aufbau der Verbindungseinheit 
30 etwas detaillierter dargestellt. Die Ubertragung von 
Daten vom Bus 21 zum Bus 23 erfolgt uber einen Schal- 30 
ter 302, wahrend die vom Bus 23 zum Bus 21 zu uber- 
tragenden Daten uber einen Schalter 304 fuhren. Die 
Schlatter 302 und 304 werden gemeinsam uber die 
Steuerleitung 27 angesteuert. In der in Fig. 2 dargestell- 
ten Stellung der Schalter 302 und 304 ist die Verbindung 35 
unterbrochen, und zum Bus 21 werden Daten ubertra- 
gen, die von einer Leitung 306 mit festem Datenwert 
kommen. Dieser Datenwert entspricht beispielsweise 
dem Wert des Sprungbefehls, mit dem in den System- 
Mode gesprungen wird. Wenn also in einem Benutzer- 40 
programm verbotener Weise auf ein nicht zugelassenes 
Register zugegriffen werden soil, wird also ein Wert ent- 
sprechenddem Sprungbefehlausgelesen. Wenn dieser 
Wert als Befehl interpretiert werden soli, erfolgt bei ei- 
nem solchen verbotenen Zugriff also immer ein Sprung 45 
in den System-Mode, in dem nur festgelegte, von einem 
Benutzer nicht veranderbare Befehlsfolgen ablaufen. 
[0021 ] In Fig 3 sind einige Teile der MMU14 naher dar- 
gestellt. Die Verbindung zum Bus 11 fuhrt auf einen 
AdreBrechner 140, wo die Daten vom Bus 11 als Adres- so 
se mit einem uber die Verbindung 19 vom Register 18 
in Fig. 1 kommenden AdreGteil hoherer Wertigkeit ver- 
knupft und uber die Verbindung 141 ausgegeben wer- 
den. Die Verbindung 141 fuhrt auf eine Blockiereinheit 
144 und einen Vergleicher 142. Einzweiter Eingangdes ss 
Vergleichers 142 ist mit dem Ausgang eines Registers 
32 verbunden, das ebenfalls als Register fur spezielle 
Funktionen mit dem Bus 23 verbunden ist, der nur im 



System-Mode zuganglich ist und in diesem System-Mo- 
de mit einem Wert fur eine AdreB-Grenze geladen wer- 
den kann. Diese AdreB-Grenze wird mit vorzugsweise 
Teilen der Adresse auf der Verbindung 141 verglichen, 
und wenn die Adresse innerhalb der vorgegebenen 
Grenze liegt, wird vom Vergleicher 1 42 uber die Leitung 
141 die Blockiereinheit 144 freigegeben und die Adres- 
se uber die Verbindung 15 dem Speicher 20 in Fig. 1 
zugefuhrt. Auf diese Weise kann im Benutzer-Mode der 
Zugriff auf einen Teil eines dem betreffenden Benutzer- 
programm zugeordneten Segments gesperrt werden. 
[0022] Eine weitere Sicherung gegen Zugriff auf nicht 
erlaubte Daten ist in Fig. 4 schematisch dargestellt. 
Wenn aus dem Speicher 20 in Fig. 1 der Inhalt eines 
Speicherplatzes ausgelesen und die entsprechenden 
Daten uber die Verbindung 29 abgegeben werden, wer- 
den diese einem Vergleicher 42 und einer weiteren 
Blockiereinheit 40 zugefuhrt. Der Vergleicher 42 erhalt 
an einem weiteren Eingang Daten aus dem Register 1 8, 
das uber den Bus 23 geladen wurde. Der Vergleicher 

42 pruft bestimmte Teile des Datenworts auf der Verbin- 
dung 29 auf Gleichheit mit den vom Register 18 zuge- 
fuhrten Daten. Nur bei Gleichheit wird uber die Leitung 

43 die Blockiereinheit 40 freigegeben und die Daten auf 
der Verbindung 45 abgegeben. Diese Daten werden ab- 
hangig von entsprechenden Steuersignalen auf nicht 
gesondert dargestellten Steuerleitungen in ein Datenre- 
gister 44 eingeschrieben, das diese Daten dem Bus 11 
zufuhrt, oder in Befehlsregister 46, das diese Daten als 
Befehl einem nicht dargestellten Befehlsdekoder zu- 
fuhrt. 

[0023] Wenn vom Bus 11 uber das Datenregister 44 
Daten in den Speicher 20 in Fig. 1 eingeschrieben wer- 
den sollen, gehen diese ebenfalls uber die Blockierein- 
heit 40 und werden dort urn Daten entsprechend dem 
Inhalt des Registers 18 erganzt und uber die Verbindung 
29 in den Speicher 20 eingeschrieben. Dadurch wird 
beim Auslesen dieser Daten in dem zugehorigen Benut- 
zerprogramm die erforderliche Gleichheit mit dem Inhalt 
des Registers 18 festgestellt. In einem anderen Benut- 
zerprogramm, in dem diese Prufdaten einen anderen 
Wert haben, kann also nicht auf Daten eines fremden 
Benutzerprogramms zugegriffen werden. 
[0024] In Fig. 5 ist symbolisch die Aufteilung in einen 
geschutzten Systemteil 50 und einen ungeschutzten 
Benutzerteil 60 dargestellt. Im Benutzerteil 60 ist der Zu- 
griff auf einen Stapelspeicher 62 und den Programm- 
zahler 64 freigegeben. AuBerdem steht diesem Benut- 
zerteil eine Halfte des Registers 59 fur das Programm- 
statuswort zur Verfugung. Der andere Teil dieses Regi- 
sters 59 steht nur dem Systemteil 50 zur Verfugung. 
Darin kann uber Register 57 auf System-Stapelspeicher 
570, 571 zugegriffen werden, auBerdem uber eine 
Schnittstelle 52 auf den Bus f Dr die Register fur spezielle 
Funktionen, wie ein Register 56 fur die Steuerung der 
Schreibfreigabe in Speicher und das Register 55 fur 
Oberhaupt den Zugriff auf Speicher sowie das Register 
54 fur Eingabe/Ausgabe-Operationen und ein Register 
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53 fOr einen Koprozessor, der vorzugsweise auf dem- 
selben Chip angeordnet ist. Es konnen noch weitere 
derartige, nicht dargestellte Register vorhanden sein. 
[0025] Der Systembereich 50 mit den Zu griff smog- 
lichkeiten auf die darin angedeuteten Einheiten ist nur 
moglich, wenn das Mode-Bit gesetzt ist. Im Benutzer- 
Bereich ist der Zugriff auf die darin dargestellten Einhei- 
ten 62 und 64 moglich, jedoch nicht auf die im System- 
bereich 50 dargestellten Einheiten. 
[0026] In Fig. 6 ist ein Beispiel fur den Aufbau eines 
Programmstatusworts 70 dargestellt. Der Abschnitt 71 
enthalt das Mode-Bit. Im Abschnitt 72 befindet sich ein 
Bit, mitdessen Hilfe der Programmablauf uberpruft wer- 
den kann, was insbesondere bei der Erstellung von Pro- 
grammen wichtig ist. Der Inhalt des Abschnitts 73 dient 
der Registerauswahl. Mit dem Inhalt des Abschnitts 74 
werden Unterbrechungsanforderungen maskiert. Diese 
Abschnitte gehoren zu derjenigen Halfte des Pro- 
grammstatusworts, das nur im System-Mode verander- 
bar ist. 

[0027] Der Teil nach dem Doppelstrich ist auch im Be- 
nutzer-Mode lesbar und veranderbar und enthalt zwei 
Abschnitte 75 und 76, in denen Ubertragssignale ge- 
speichert werden, die in der ALU12 in Fig. 1 entstehen. 
Der Abschnitt 77 kann weitgehend frei vom Benutzer- 
programm definiert werden. Im Abschnitt 78 wird die 
Meldung gespeichert, daB in der ALU12 in Fig. 1 ein 
Uberlauf aufgetreten ist. Der Abschnitt 79 gibt an, daB 
in der ALU 12 ein negatives Ergebnis aufgetreten ist, 
und der Abschnitt 80 gibt an, daB der Wert Null bei der 
Berechnung entstanden ist. Da dies nur Signale der 
ALU 12 in Fig. 1 sind, muB der Zugriff auf diese Bereiche 
auch im Benutzer-Mode moglich sein. 



Patentanspruche 

1. Chipkarte mit einer integrierten Schaltung, die eine 
Steuereinheit in Form eines Mikroprozessors und 
wenigstens einen Speicher mit einer Vietzahl uber 
Adressen zugreifbarer Speicherplatze enthalt, wo- 
bei der Mikroprozessor mehrere Register umfaBt, 
von denen mindestens ein PSW-Register ein Pro- 
grammstatuswort enthalt, in dem der Wert wenig- 
stens eines vorgegebenen Mode-Bits einen Benut- 
zer-Mode Oder einen System-Mode bestimmt, wo- 
bei der Zugriff auf wenigstens Teile des PSW-Regi- 
sters sowie auf alle solchen Register und auf Spei- 
chersegmente, die nur im System-Mode verwendet 
werden, bei einem den Benutzer-Mode angeben- 
den Mode-Bit gesperrt ist. 

2. Chipkarte nach Anspruch 1 , wobei das PSW-Regi- 
ster aus wenigstens einem ersten und einem zwei- 
ten Teilregister besteht und das erste Teilregister 
das Mode-Bit sowie eine Information zur Auswahl 
eines von mehreren Register-Blocken enthalt und 
nur im System-Mode lesbar und veranderbar ist. 



3. Chipkarte nach Anspruch 1 Oder 2, wobei jede im 
Benutzer-Mode auftretende Unterbrechungsanfor- 
derung einen Sprung in den System-Mode ausldst, 
der das Mode-Bit umschaltet, und alle Register, die 
5 fur Eingabe/Ausgabe-Operationen und fur die 

Steuerung von mit dem Mikroprozessor gekoppel- 
ten Steuerschaltungen dienen, nur im System-Mo- 
de verwendet werden. 

io 4. Chipkarte nach einem der vorhergehenden Anspru- 
che, wobei wenigstens eines der Register ein er- 
stes Segment-Adressen-Register ist, das die 
Adresse eines Speichersegments enthalt, in dem 
Daten fur das momentan ausgefuhrte Programm 

'5 enthalten sind, und wenigstens ein weiteres Regi- 
ster ein zweites Segment-Adressen-Register ist, 
das die Adresse eines vorzugsweise anderen Spei- 
chersegments enthalt, und im Benutzer-Mode eine 
Veranderung des ersten und des zweiten Segment- 

20 Adressen-Registers gesperrt ist. 

5. Chipkarte nach einem der vorhergehenden Anspru- 
che, wobei weitere Register AdreB-Register sind, 
die je eine Adresse innerhalb eines vom Segment- 
's adressen-Register angegebenen Speicherbe- 

reichs angeben, wobei jedem AdreB-Register ein 
Hilfs-AdreBregister zugeordnet ist, das nur im Sy- 
stem-Mode veranderbar ist und wenigstens die 
hochstwertigen Bits der Adresse sowie eine Prufin- 

30 formation enthalt, und wobei ein Vergleicher vorge- 
sehen ist, der die Prufinformation des Hilfs- 
Ad re B registers mit aus vorgegebenen Bitstellen 
des adressierten Speicherplatzes ausgelesenen 
Informationen vergleicht und im Benutzer-Mode nur 

35 bei Ubereinstimmung der Prufinformation mit der 
ausgelesenen Information die Weiterleitungderaus 
dem adressierten Speicherplatz ausgelesenen In- 
formation oder eine Veranderung der Information 
des adressierten Speicherplatzes freigibt. 

40 

6. Chipkarte nach einem der vorhergehenden Anspru- 
che, wobei von einem im Benutzer-Mode adressier- 
ten Register, das nur im System-Mode verwendet 
wird, nur ein vorgegebenes Bitmuster, vorzugswei- 

45 se das Bitmuster eines nach der Herstellung der in- 
tegrierten Schaltung nicht veranderten Speicher- 
platzes, weitergeleitet wird. 

7. Chipkarte nach einem der vorhergehenden Anspru- 
so che, wobei die Register uber einen Bus mit der ub- 

rigen Schaltung des Mikroprozessors derart ver- 
bunden sind, daB die nur im System-Mode verwen- 
deten Register am vom Mikroprozessor abgewand- 
ten Ende des Busses angeordnet sind, und in dem 
55 Bus vor diesem Register ein nur vom Mode-Bit ge- 
steuertes Sperrgatter angeordnet ist. 
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(54) Chipkarte mit integrierter Schaltung 

(57) Chipkarten mit Mikroprozessor und Speicher 
werden fur verschiedene Anwendungsfalle eingesetzt. 
Gewunscht ist auch, daB dieselbe Chipkarte fur ver- 
schiedene Anwendungen verwendet werden kann. Da- 
zu ist es erforderlich, daB die verschiedenen Benutzer- 
programme sicher voneinander getrennt sind und ein 
gegenseitiger Zugriff nicht moglich ist. Dies wird insbe- 
sondere durch die Aufteilung in einen System-Mode, in 
dem alle Zugriff srechte freigegeben sind, und in einen 
Benutzer-Mode erreicht, der uber ein bestimmtes Bit im 
Programmstatuswort eingestellt wird. Dieses Mode-Bit 
steuert u.a. eine Trennung in dem Bus fur die Register 
fur spezielle Funktionen, so daB bestimmte Register in 
Benutzer-Mode nicht zuganglich sind. In diesen Regi- 
stern konnen Informationen enthalten sein, die den Zu- 
griff auf nur bestimmte Speicherbereiche freigeben, so 
daB im Benutzer-Mode dieser Zugriff nicht geandert 
werden kann. Ferner kann jedes Speicherwort eine in- 
dividuell einem Anwenderprogramm zugeordnete Pruf- 
information enthalten, die beim Auslesen mit der ent- 
sprechenden Prufinformation verglichen wird, wobei bei 
fehlender Ubereinstimmung die ausgelesene Informati- 
on intern nicht weitergeleitet wird. 
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